Bagaimana untuk Meluluskan Parameter ke JDBC PreparedStatement dengan selamat?

DDD
Lepaskan: 2024-11-20 02:04:17
asal
699 orang telah melayarinya

How to Securely Pass Parameters to a JDBC PreparedStatement?

Melalukan Parameter ke JDBC PreparedStatement

Dalam JDBC, pernyataan yang disediakan digunakan untuk melaksanakan pernyataan SQL dengan cekap dan selamat dengan menyusun pernyataan sekali dan melaksanakannya beberapa kali dengan parameter yang berbeza. Apabila menghantar parameter kepada pernyataan yang disediakan, adalah penting untuk memastikan ia ditetapkan dengan betul untuk mengelakkan serangan suntikan SQL dan ralat pemformatan pernyataan.

Penjelasan Masalah

Kod yang disediakan cuba untuk memilih baris daripada jadual pangkalan data berdasarkan parameter userID yang dihantar kepada pembina kelas Pengesahan. Walau bagaimanapun, pernyataan tersebut tidak mempunyai parameterisasi, yang membawa kepada pelaksanaan yang salah dan potensi kelemahan suntikan SQL.

Penyelesaian

Untuk lulus parameter userID dengan betul, gunakan kaedah setString() untuk menetapkan nilai bagi parameter pertanyaan. Ini memastikan pernyataan diformat dengan betul dan melindungi daripada serangan suntikan SQL.

statement = con.prepareStatement("SELECT * FROM employee WHERE userID = ?");
statement.setString(1, userID);
Salin selepas log masuk

Dengan mengikuti pendekatan ini, kod yang disediakan akan memilih baris dengan betul daripada jadual pangkalan data berdasarkan parameter ID pengguna yang ditentukan.

Amalan Terbaik

  • Sentiasa gunakan pernyataan yang disediakan dengan parameterisasi untuk mencegah serangan suntikan SQL dan meningkatkan keselamatan kod.
  • Gunakan kaedah setXXX() khusus jenis data yang sesuai untuk menetapkan nilai parameter (cth., setString(), setInt(), dsb.).
  • Elakkan menggabungkan input pengguna ke dalam pernyataan SQL, kerana ini menjadikan aplikasi terdedah kepada suntikan SQL.

Atas ialah kandungan terperinci Bagaimana untuk Meluluskan Parameter ke JDBC PreparedStatement dengan selamat?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

sumber:php.cn
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan